正在阅读：2008上半年网络安全报告·网页木马凶猛泛滥2008上半年网络安全报告·网页木马凶猛泛滥

　　三、2008年上半年网页木马主要特点分析

　　1、网页木马更倾向于利用第三方应用程序漏洞。

　　从统计的数据来看，目前网页木马利用的主要漏洞已经从操作系统相关漏洞转向比较流行的应用程序相关漏洞。相对于操作系统软件，一些流行的应用软件在逻辑编码与安全测试方面可能会稍逊一筹。所以在漏洞产生的频率与可能性上，应用软件相对来说会有更大的空间。

　　另一方面，操作系统的升级时间会相对固定，安全意识日益提高的用户也会更重视系统漏洞。而每次上网时先要去检测一下众多应用程序是否需要升级，的确是一件很烦琐的事情，很多用户对应用程序的升级也不是十分重视。当软件自动更新程序提示有新版本程序时，一些用户会选择不升级到最新版本，很多用户很可能已经取消了程序的自动升级。有某些少数的软件公司竟然对程序存在的漏洞不进行修正，无视安全公司的漏洞分析及善意提示，不顾及用户的利益是否会遭受损失。

　　以上这些原因都导致了利用应用程序漏洞的网页木马的疯狂增长，超级巡警首创第三方漏洞检测和修复功能，保护了大量的用户，有效的遏制了常见利用第三方漏洞的木马传播。

　　2、网页木马集团化作业，分工明确。

　　网页木马的增长一方面是因为可利用的漏洞频频出现，另一方面则是因为在巨额利润驱使下的制作者群体的快速增长。从0day漏洞到网马生成器，从可控"肉机"到webshell，在木马产业的每一个环节都有利益可图，这种"高收入、低风险"使得更多的人，尤其是青年人趋之若骛。

　　超级巡警团队根据监控的数据进行了抽样调查，结果表明25%以上的网马中含有关键字"cuteqq"。经调查得知，含有关键字"cuteqq"的网马都是由名为"暗黑工作组"的网站所出售的网马生成器生成的。另外像中华吸血鬼马等生成器家族也越来越多，这类半地下半公开或者全公开叫嚣对抗安全产品的生成器今年数量急剧增多，由于其不需要使用者有较高的计算机水平广受欢迎，成为了一大公害。下图即为暗黑生成器的截图：

图8　网马生成器

　　今年黑色产业链发展比去年更为势头猛烈，流水化作业，分工明确，目前网马工作流程如下图：

图9　网马流程图